Die NIS-Richtlinie will ein einheitliches Cybersecurity-Niveau in allen EU-Mitgliedsstaaten schaffen. Sie gilt unter anderem für Betreiber von kritischen Infrastrukturen und für Cloud Provider. Eine zentrale Rolle bei der Umsetzung spielt die Einführung einer Public Key Infrastruktur (PKI). KRITIS-Unternehmen müssen daher bei ihren Cloud-Deployments jetzt einiges beachten.
Die NIS-Direktive der EU-Kommission soll das Cybersicherheits-Niveau in allen Mitgliedstaaten hochhalten.
Cybervorfälle zählen weltweit zu den größten Geschäftsrisiken. Für kritische Infrastrukturen sind sie brandgefährlich, denn ein erfolgreicher Angriff könnte das gesamte gesellschaftliche Leben zum Erliegen bringen. Um europaweit für mehr Schutz zu sorgen, hat die EU-Kommission die NIS-Direktive über die Sicherheit von Netz- und Informationssystemen erlassen. Sie soll ein einheitliches, hohes Cybersicherheits-Niveau in allen Mitgliedstaaten schaffen.
Die NIS-Richtlinie ist seit August 2016 in Kraft und wurde im Mai 2018 in nationales Recht umgesetzt. Sie gilt für Betreiber kritischer Infrastrukturen sowie für Anbieter digitaler Dienste. Erstmals stehen damit auch Cloud Provider im Fokus eines Cyber-Sicherheitsgesetzes und müssen dafür sorgen, dass sie die Direktive erfüllen. KRITIS-Unternehmen wiederum, die solche Services einsetzen, brauchen eine Security-Management-Strategie, die ihre Cloud-Deployments miteinschließt.
PKI als Schlüsseltechnologie
Zu den zentralen Anforderungen der NIS-Richtlinie zählt, dass Unternehmen angemessene technische Maßnahmen ergreifen müssen, um Nutzer, Geräte und Systeme zu authentisieren und zu autorisieren. So soll die Authentizität der Teilnehmer verifiziert und sichergestellt werden, dass nur Berechtigte Zugriff auf Dienste oder Daten erhalten.
Die am weitesten verbreitete Technologie, um dies umzusetzen, ist eine Public Key Infrastruktur (PKI). Sie ermöglicht es, die Identität jedes Teilnehmers in einem Netzwerk anhand von Zertifikaten eindeutig festzustellen. Außerdem schafft sie die Voraussetzung für sichere, verschlüsselte Kommunikation. Eine PKI umfasst Software, Hardware, Prozesse und Richtlinien, um digitale Zertifikate und öffentliche Schlüssel zu erstellen, zu verwalten, zu verteilen, zu verwenden, zu speichern und zu widerrufen.
Oft vernachlässigt: die Zertifikats-Policy
Viele Cloud-Provider und KRITIS-Unternehmen haben bereits eine PKI eingeführt oder sind gerade dabei. Die NIS-Richtlinie beflügelt dies, denn jetzt sind betroffene Unternehmen dazu verpflichtet, geeignete Security-Maßnahmen nachzuweisen. Viele streben daher eine Zertifizierung nach ISO 27001 an, um ihren Schutzstatus messbar zu machen.
Dabei vergessen sie häufig, dass eine PKI mehr ist als nur Technik. Vielmehr handelt es sich um ein Sicherheitskonzept, das auch organisatorische Maßnahmen erfordert. Damit die PKI wirklich sicher ist, brauchen Unternehmen eine Zertifikats-Policy. Sie beschreibt die technischen, personellen und organisatorischen Sicherheitsanforderungen für die Ausstellung von Zertifikaten.
Eine zentrale Rolle spielt dabei die Frage, wie sich die Identitätssicherheit und das Vertrauen wiederherstellen lassen, wenn die PKI bei einem Cybervorfall kompromittiert wurde. Woher weiß man, welchen Identitäten man noch vertrauen kann? Müssen nach einem Hackerangriff sämtliche Personen und Geräte im Netzwerk wieder neu identifiziert werden? Muss die gesamte Infrastruktur neu aufgebaut werden?
Die Root CA hat in der Cloud nichts verloren
In der PKI wird Vertrauen mithilfe von Zertifikaten hergestellt. Dabei gibt es eine streng hierarchische Vertrauenskette. Oberste Instanz ist die Root CA (certificate authority), die Wurzel-Zertifizierungsstelle. Sie fungiert als Vertrauensanker (Trust Anchor), das heißt ihr vertrauen sämtliche anderen Teilnehmer in der PKI. Von der Root CA sind untergeordnete Sub CAs autorisiert, die wiederum Zertifikate für Geräte oder Personen ausstellen. Wird nun eine Sub CA gehackt, lässt sich die Identität eines Teilnehmers immer noch anhand der Root CA verifizieren. Daher ist es entscheidend für die Sicherheit, dass die Root CA nicht in falsche Hände gelangt. Sie sollte immer unter eigener Kontrolle bleiben.
Das ist insbesondere wichtig, wenn Unternehmen Public Cloud Services einsetzen. Denn hier entzieht sich vieles ihrer Kontrolle und obliegt dem Cloud Provider. Wer eine PKI in der Public Cloud betreibt, sollte also unbedingt darauf achten, dass er die Root CA trotzdem selbst managen kann. Sie darf niemals in der Cloud liegen. Die Security Policies des Cloud Providers sollten im Einklang mit der eigenen Sicherheitsstrategie und der NIS-Richtlinie sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Doch auch wenn dies gewährleistet ist, müssen sich Unternehmen trotzdem noch selbst um Datenschutz-, Datensicherheits-, Wiederherstellungs- und Reporting-Prozesse kümmern. Dafür brauchen sie die geeigneten technischen und organisatorischen Möglichkeiten. Raimund Wilhelmer, COO beim Sicherheitsspezialisten Cryptas, erklärt: „Gerade in der Cloud sollten Unternehmen darauf achten, dass ihre Security Policies eingehalten werden. Sie müssen sich insbesondere über das gesamte Risiko-Management und insbesondere auch Gedanken über Recovery-Szenarien machen und die Kontrolle über die Root CA behalten. Eine PKI-Lösung wie die EJBCA von PrimeKey ermöglicht es Unternehmen, ihre Cloud Deployments ideal und NIS-konform umzusetzen und so ihre Geschäftsziele zu erreichen.“
Die richtige PKI-Lösung finden
Andreas Philipp von PrimeKey.
(Bild: PrimeKey)
Bei der Wahl der geeigneten PKI-Lösung sollten Unternehmen darauf achten, dass der Anbieter nach ISO 27001, ISO 27002 und ISO 9001 zertifiziert ist. Dadurch können sie sicher sein, dass hohe Security- und Qualitätsmanagement-Standards eingehalten werden. Empfehlenswert sind außerdem Produkt-Zertifizierungen nach Common Criteria. Damit erfüllen Produkte sowohl hohe funktionale Anforderungen an die Sicherheit als auch an die Vertrauenswürdigkeit. Außerdem sollte die PKI-Lösung möglichst einfach einzusetzen sein und sich bereits nachweisbar bei Kunden im Praxiseinsatz bewährt haben.
* Der Autor Andreas Philipp ist Business Development Manager bei PrimeKey.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/70/9b/709be687f62b0cd147a6812f83d6c65e/0129606780v1.jpeg "Srini Tallapragada, President und Chief Engineering & Customer Success Officer bei Salesforce: Mit dem Einsatz von Agenten erreiche man jetzt selbst Kunden, „die wir bislang nie erreicht hätten“. (Bild: Matzer - Salesforce)")
:quality(80)/p7i.vogel.de/wcms/0d/54/0d5442860c493748b1fa1c5ae888f139/0129642721v1.jpeg "Mit der SAP Engagement Cloud treibt SAP seine Enterprise Engagement Strategie voran. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/09/4b/094b3953dd0f0197771e88a2b3cd5dd7/0129558725v1.jpeg "Simplepeppol führt Nutzer in drei Schritten durch den Versandprozess: Rechnung hochladen, Zusammenfassung prüfen und Zahlung abschließen. (Bild: Compacer)")
:quality(80)/p7i.vogel.de/wcms/0d/a5/0da5fc1b31a8d82936997937bbac4a22/0129709267v1.jpeg "Der Einsatz KI-basierter Tools birgt erhebliche kartellrechtliche Risiken, die IT-Entscheider in Unternehmen unbedingt kennen sollten. (Bild: © phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b62738516a2d7206d185d8aac1efae/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/93/ec93a0fc1662e9cac4c12fa92bf8ee1b/0129558709v1.jpeg "Zombie-Projekte werden scheinbar nie abgeschlossen, immer wieder angestoßen und verbrauchen Ressourcen, ohne Ergebnisse oder messbaren Nutzen zu liefern. (Bild: © Zuhaib – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4a/f8/4af8ea4871bb30c4c99a7cc4803571a1/0129713554v1.jpeg "Der Human-in-the-loop-Ansatz bindet Menschen gezielt in automatisierte KI/ML-Prozesse ein, um Daten zu annotieren, Entscheidungen zu überwachen und zu korrigieren. (Bild: © TyliJura - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/14/37140d299f8b19a13ffcb9c4d529cc8f/0129663534v1.jpeg "Das aktuelle Nextcloud-Release „Hub 26 Winter“ zeigt eine neue Core-Architektur: Die ADA-Engine reorganisiert Datenbank und Dateizugriff. (Bild: © A_Bruno - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/f4/41f4003f82b33cea9a08a2d861916819/0129819558v1.jpeg "Wirtschaftlicher Nutzen von KI entsteht nicht durch einzelne Experimente, sondern durch die konsequente Integration der Technologie in Kernprozesse. (Bild: © Puwasit Inyavileart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/3e/213e048297e4b97a3975bb29a8d8c10b/0129529640v1.jpeg "Steuerersparnis im Homeoffice: Berufstätige können bestimmte Kosten über die Steuererklärung absetzen. (Bild: © supamotion - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/ec/7cec2bcd6f2ad5c0a87b9a5138ff5a3d/0129666790v2.jpeg "Auch in diesem Jahr wird es auf dem CloudFest volle Hallen geben. (Bild: by Rene Lamb Fotodesign)")
:quality(80)/p7i.vogel.de/wcms/da/47/da47da2368f309d3892c097244b5ffdd/0129699457v1.jpeg "Eine Multicloud-Umgebung basiert weniger auf technischen Einzelentscheidungen, sondern ist insgesamt als strategisches Betriebsmodell konzipiert. (Bild: © Tanvir - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/6b/376bc07290ed65f4911f5df951f326ea/0129821010v1.jpeg "Die Authentifizierung per Kennwort innerhalb Microsoft 365 bleibt erst einmal. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/d2/18d2103d4738326ccba53fdb2b4fddab/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/f8/0df8ae42902423336d9c6b8e6323b3d7/0129665972v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/d9/aad9aca6a6aeba32e784d3c0175f5e14/0129941803v1.jpeg "Das Google AI Center in Berlin soll eine Plattform sein, um KI-Forschende und -Entwickler zusammenzubringen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/16/c8/16c8e198530f2a28206650f8fc3ab369/0129583392v1.jpeg "Unternehmen, die in souveräne KI-Infrastrukturen investieren, schaffen die Voraussetzungen für Kontrolle und Verlässlichkeit im KI-Einsatz. (Bild: © Borin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/05/9f055e986816adb29696516d2469266e/0129568315v1.jpeg "Die aktuelle Parallels-Studie zeigt ein tiefgreifendes Umdenken in der Cloud-Strategie deutscher Unternehmen, die zunehmend Flexibilität und strategische Weitsicht priorisieren, während sie traditionelle Anbieterabhängigkeiten hinterfragen. (Bild: frei lizenziert Gerd Altmann)")
:fill(fff,0)/p7i.vogel.de/companies/68/6c/686cc778b54e4/flexera-no-tagline-rgb-full-color.png "flexera-no-tagline-rgb-full-color (Flexera Software GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2f/02/2f023880e6a6dbb1ac29fb8babfe290f/0116330286v1.jpeg "„Unternehmen sollten darauf achten, dass sie auch bei der Wahl ihrer NetOps-Lösung einen Vendor Lock-in verhindern und auf eine holistische Lösung setzen, die bereits Out-of-the-Box eine möglichst ganzheitliche Funktionsvielfalt und ein hohes Maß an Automatisierung bietet sowie KI gewinnbringend einsetzt“, sagt Thomas Schuller von Progress. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/43/22/4322b92244f35ca42bb7c5023ef629dc/0125079430v1.jpeg "Es gibt zwei EU-Richtlinien, die unterschiedliche Bereiche kritischer Infrastrukturen betreffen – die NIS2-Richtlinie zur Cybersicherheit und die CER-Richtlinie zur Resilienz. Beide müssen in nationales Recht transponiert werden. (Bild: © lucadp - stock.adobe.com)")